Поделиться через

Настройка сетевых политик для защиты доступа к сети в Configuration Manager

  • Статья

Назначение: System Center Configuration Manager 2007, System Center Configuration Manager 2007 R2, System Center Configuration Manager 2007 R3, System Center Configuration Manager 2007 SP1, System Center Configuration Manager 2007 SP2

Последнее обновление раздела: август 2007 г.

При настройке сервера политики сети для защиты доступа к сети в Configuration Manager потребуется настроить следующие три политики сети.

  • Политика сети, не допускающая несоответствие (для клиентов с поддержкой защиты доступа к сети, для которых доказано соответствие политикам защиты доступа к сети Configuration Manager и соответствие критериям средства проверки работоспособности системы Configuration Manager)

  • Политика сети, допускающая несоответствие (для клиентов с поддержкой защиты доступа к сети, которые не соответствуют политикам защиты доступа к сети Configuration Manager или не соответствуют критериям средства проверки работоспособности системы Configuration Manager)

  • Политика сети, не подходящая для защиты доступа к сети (для клиентов, не поддерживающих защиту доступа к сети)

Можно либо изменить существующие политики сети, либо создать новые для Configuration Manager.

  • Чтобы создать новые политики сети, на консоли сервера политики сети раскройте Политики, щелкните правой кнопкой мыши Политики сети и выберите Новая, чтобы запустить мастер создания политики сети.

  • Чтобы изменить существующие политики сети, на консоли сервера политики сети раскройте Политики, выберите Политики сети, щелкните правой кнопкой мыши политику для изменения в области результатов и выберите Свойства. Можно использовать существующую политику в качестве шаблона, щелкнув правой кнопкой мыши исходную политику, выбрав Повторяющаяся политика, щелкнув правой кнопкой мыши выбранную повторяющуюся политику и выбрав Свойства.

В следующих разделах перечислены необходимые для политики сети свойства, относящиеся к защите доступа к сети в Configuration Manager.

Политика сети, не допускающая несоответствие

  • На вкладке Общие сведения выберите Политика включена.

  • На вкладке Общие сведения выберите разрешение доступа Предоставить доступ. Предоставить доступ, если запрос на подключение соответствует этой политике.

  • На вкладке Условия добавьте условие Политики работоспособности, выберите созданную ранее политику работоспособности Соответствующая и нажмите кнопку ОК.

  • На вкладке Ограничения только для систем ограничений DHCP и IPsec установите флажок Выполнять только проверку работоспособности компьютеров. Примечание. Применять это ограничение нельзя, если используется виртуальная частная сеть (VPN) или сеть 802.1X как механизм принудительного применения.

  • На вкладке Параметры в разделе Защита доступа к сети выберите вариант Принудительная защита доступа к сети, щелкните Разрешить полный доступ к сети, а затем нажмите кнопку ОК.

Политика сети, допускающая несоответствие

  • На вкладке Общие сведения выберите Политика включена.

  • На вкладке Общие сведения выберите разрешение доступа Предоставить доступ. Предоставить доступ, если запрос на подключение соответствует этой политике.

  • На вкладке Условия добавьте условие Политики работоспособности, выберите созданную ранее политику работоспособности Несоответствующая и нажмите кнопку ОК.

  • На вкладке Ограничения только для систем ограничений DHCP и IPsec установите флажок Выполнять только проверку работоспособности компьютеров. Примечание. Применять это ограничение нельзя, если используется виртуальная частная сеть (VPN) или сеть 802.1X как механизм принудительного применения.

  • На вкладке Параметры в разделе Защита доступа к сети выберите вариант Принудительная защита доступа к сети и выберите один из следующих параметров.

    • Разрешить полный доступ к сети в течение ограниченного времени, а затем используйте параметры Дата и Время, чтобы установить, когда компьютеры должны иметь ограниченный доступ к сети, если их состояние работоспособности остается несоответствующим.

    • Разрешить ограниченный доступ, если требуется немедленно подключить несоответствующие компьютеры к ограниченной сети.

  • На вкладке Параметры установите Принудительная защита доступа к сети, в разделе URL-адрес группы серверов обновлений и службы устранения неполадок нажмите кнопку Настройка, затем в диалоговом окне URL-адрес серверов обновлений и службы устранения неполадок выполните описанные ниже действия и нажмите кнопку ОК.

    • В разделе Группа серверов обновлений выберите созданную ранее группу серверов обновлений, содержащую серверы инфраструктуры, такие как DNS-серверы.

    • В разделе URL-адрес службы устранения неполадок, введите ссылку на веб-страницу, доступную из ограниченной сети, которую будут видеть пользователи, находящиеся в состоянии обновления.

Примечание

Нет необходимости выбирать параметр Включить автоматическое обновление клиентских компьютеров в разделе Автоматическое обновление. Защита доступа к сети в Configuration Manager всегда автоматически обновляет несоответствующие клиенты, если политика работоспособности настроена с параметром Разрешить полный доступ к сети в течение ограниченного времени или Разрешить ограниченный доступ. Но установка этого флажка может потребоваться для агентов работоспособности системы и средств проверки работоспособности системы не в Configuration Manager.

Политика сети, не подходящая для защиты доступа к сети

  • На вкладке Общие сведения выберите Политика включена.

  • На вкладке Общие сведения выберите разрешение доступа Предоставить доступ. Предоставить доступ, если запрос на подключение соответствует этой политике.

  • На вкладке Условия добавьте условие Компьютеры, пригодные для NAP, выберите Только компьютеры, непригодные для NAP и нажмите кнопку ОК.

  • На вкладке Ограничения только для систем ограничений DHCP и IPsec установите флажок Выполнять только проверку работоспособности компьютеров. Примечание. Применять это ограничение нельзя, если используется виртуальная частная сеть (VPN) или сеть 802.1X как механизм принудительного применения.

  • На вкладке Параметры в разделе Защита доступа к сети выберите вариант Принудительная защита доступа к сети, выберите Разрешить полный доступ к сети, а затем нажмите кнопку ОК.

См. также

Основные понятия

Настройка взаимодействия с пользователем при обновлении для защиты доступа к сети в Configuration Manager

Другие ресурсы

Настройка сервера политики сети для Configuration Manager
Обзор защиты доступа к сети

Дополнительные сведения см. на странице Configuration Manager 2007 Information and Support [Информация и поддержка Configuration Manager 2007].
Для обращений в группу разработчиков документации используйте адрес электронной почты SMSdocs@microsoft.com.